Kerberos
Что такое Kerberos?
KerberosСетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
Kerberos разработан в MIT и стандартизирован в RFC 4120. Клиент проходит аутентификацию в центре распределения ключей (KDC) и получает Ticket-Granting Ticket (TGT). С помощью TGT он запрашивает сервисные билеты для конкретных серверов, не передавая пароль повторно. Билеты имеют ограниченный срок действия и шифруются общими ключами, обеспечивая взаимную аутентификацию и защиту от повторной передачи. Kerberos лежит в основе аутентификации в Active Directory, многих Linux/Unix-реалмах и Hadoop-кластерах. Известные слабые места — атаки на слабые пароли сервисных учёток (Kerberoasting), подделанные билеты (Golden/Silver Ticket) и расхождения времени; современная защита включает сильные секреты сервисных учётных записей, использование только AES и ограниченную делегацию.
● Примеры
- 01
Пользователь Active Directory получает TGT от контроллера домена Windows, а затем сервисный билет для доступа к SharePoint.
- 02
Hadoop использует Kerberos для аутентификации обмена между NameNode и DataNode.
● Частые вопросы
Что такое Kerberos?
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Kerberos?
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
Как защититься от Kerberos?
Защита от Kerberos обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kerberos?
Распространённые альтернативные названия: Протокол Kerberos.